Kashipara Online Furniture Shopping Ecommerce Website 1.0 prodList.php prodType SQL Injection
In Kashipara Online Furniture Shopping Ecommerce Website 1.0 wurde eine kritische Schwachstelle gefunden. Das betrifft eine unbekannte Funktionalität der Datei prodList.php. Durch das Manipulieren des Arguments prodType mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-89. Die Gefahr wurde am 23.04.2024 an die Öffentlichkeit getragen. Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2024-4070 vorgenommen. Der Angriff kann über das Netzwerk angegangen werden. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1505. Er gilt als proof-of-concept. Der Download des Exploits kann von github.com geschehen. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.